UNE NOUVELLE APPROCHE POUR LA DÉTECTION DES SPAMS SE BASANT SUR UN TRAITEMENT DE DONNÉES CATÉGORIELLES

Transcription

1 UNE NOUVELLE APPROCHE POUR LA DÉTECTION DES SPAMS SE BASANT SUR UN TRAITEMENT DE DONNÉES CATÉGORIELLES par Yassine Z. Parakh Ousman Mémoire présenté au Département d'informatique en vue de l'obtention du grade de maître ès sciences (M.Se.) FACULTÉ DES SCIENCES UNIVERSITÉ DE SHERBROOKE Sherbrooke, Québec, Canada, 28 juin 2012

2 Library and Archives Canada Published Héritage Branch 395 Wellington Street Ottawa ON K1A0N4 Canada Bibliothèque et Archives Canada Direction du Patrimoine de l'édition 395, rue Wellington Ottawa ON K1A 0N4 Canada Your file Votre référence ISBN: Our file Notre référence ISBN: NOTICE: The author has granted a nonexclusive license allowing Library and Archives Canada to reproduce, publish, archive, preserve, conserve, communicate to the public by télécommunication or on the Internet, loan, distrbute and sell theses worldwide, for commercial or noncommercial purposes, in microform, paper, electronic and/or any other formats. AVIS: L'auteur a accordé une licence non exclusive permettant à la Bibliothèque et Archives Canada de reproduire, publier, archiver, sauvegarder, conserver, transmettre au public par télécommunication ou par l'internet, prêter, distribuer et vendre des thèses partout dans le monde, à des fins commerciales ou autres, sur support microforme, papier, électronique et/ou autres formats. The author retains copyright ownership and moral rights in this thesis. Neither the thesis nor substantial extracts from it may be printed or otherwise reproduced without the author's permission. L'auteur conserve la propriété du droit d'auteur et des droits moraux qui protégé cette thèse. Ni la thèse ni des extraits substantiels de celle-ci ne doivent être imprimés ou autrement reproduits sans son autorisation. In compliance with the Canadian Privacy Act some supporting forms may have been removed from this thesis. While these forms may be included in the document page count, their removal does not represent any loss of content from the thesis. Conformément à la loi canadienne sur la protection de la vie privée, quelques formulaires secondaires ont été enlevés de cette thèse. Bien que ces formulaires aient inclus dans la pagination, il n'y aura aucun contenu manquant. Canada

3 Le 5 juillet 2012 le jury a accepté le mémoire de Monsieur Yassine Zaralahy Parakh Ousman dans sa version finale. Membres du jury Professeur Shengrui Wang Directeur de recherche Département d'informatique Professeur André Mayers Membre Département d'informatique Professeure Hélène Pigot Présidente rapporteur Département d'informatique

4 Sommaire Le problème des spams connaît depuis ces 20 dernières années un essor considérable. En effet, le pollupostage pourrait représenter plus de 72% de l'ensemble du trafic de courrier électronique. Au-delà de l'aspect intrusif des spams, ceux-ci peuvent comporter des virus ou des scripts néfastes ; d'où l'intérêt de les détecter afin de les supprimer. Le coût d'un envoi de courriels par un spammeur étant infime, ce dernier peut se permettre de transmettre le spam au plus d'adresse de messagerie électronique. Pour le spammeur qui arrive à récupérer même une petite partie d'utilisateurs, son opération devient commercialement viable. Imaginant un million de courriels envoyés et seul 0,1% de personnes qui se font appâtées, cela représente tout de même 1 millier de personnes ; et ce chiffre est très réaliste. Nous voyons que derrière la protection de la vie privée et le maintien d'un environnement de travail sain se cachent également des enjeux économiques. La détection des spams est une course constante entre la mise en place de nouvelles techniques de classification du courriel et le contournement de celles-ci par les spammeurs. Jusqu'alors, ces derniers avaient une avance dans cette lutte. Cette tendance s'est inversée avec l'apparition de techniques basées sur le filtrage du contenu. Ces filtres pour la plupart sont basés sur un classificateur bayésien naïf. Nous présentons dans ce mémoire une approche nouvelle de cette classification en utilisant une méthode basée sur le traitement de données catégorielles. Cette méthode utilise les N-grams pour identifier les motifs significatifs afin de limiter l'impact du morphisme des courriers indésirables. Mots-clés : spam, class, text-mining, bayésien, smtp, catégorielles, n-grams, courriel i

5 SOMMAIRE ii

6 Remerciements Je voudrais, avant tout, remercier mon directeur le professeur Shengrui Wang, qui tout au long de ma maîtrise, a su m'apporter le soutien et la motivation nécessaire pour l'accomplissement de mes travaux de recherche. Je lui suis également reconnaissant pour sa patience à mon égard, sa disponibilité pour m'expliquer et m'introduire des approches et concepts pointus. Je le remercie également pour m'avoir permis de réaliser mon projet dans des conditions favorables autant sur le plan matériel que sur l'environnement de travail. Je souhaite remercier particulièrement mes collègues le Dr Abdelalli Kelil et Alexei Nordell-Markovits pour m'avoir aidé et avoir participé à mes travaux de recherche présentés dans ce mémoire. Je remercie également les membres du jury les professeurs André Mayers et Hélène Pigot qui ont accepté de prendre le temps pour corriger mon travail. Enfin, j'adresse une pensée affective à mes parents, ma famille et mes amis pour leur support tout au long de mon entreprise. iii

7 Abréviations ASCII American Standard Code for Information Interchange DKIM DomainKeys Identified Mail DNS Domain Name Service DNSBL DNS-based Blackhole List FAI Fournisseur d'accès Internet HTML HyperText Markup Language IP Internet Protocol MLE Maximum Likelihood Estimate MTA Mail Transfert Agent OSI Open Systems Interconnection RBL Realtime Blackhole List SMTP Simple Mail Transfert Protocol SPBH Sparse Binary Polynomial Hashing SPF Sender Policy Framework SVM Support Vector Machine iv

8 Table des matières Sommaire Remerciements Abréviations Table des matières Liste des figures Liste des tableaux i iii iv v viii ix Introduction 1 1 La lutte contre le spam Le tout premier spam Les différentes techniques basées sur le bloquage d'adresse IP utilisées dans la lutte contre le spam Cacher son adresse courriel Identification de l'émetteur par sa signature S/MIME L'authentification sur SMTP (SMTP\AUTH) Authentification SMTPS Sender Policy Framework DomainKeys Identified Mail (DKIM) Realtime Blackhole List (RBL) Le greylisting 16 v

9 TABLE DES MATIÈRES Filtrage heuristique Tableau récapitulatif 19 2 La lutte anti-spam basée sur les filtres bayésiens Apprentissage statistique Définition Sur-apprentissage (Overfitting) Modèle général Quelques définitions Tokenisation Estimation de probabilité Sélection de caractéristiques Filtre bayésien Introduction à la statistique bayésienne Classification bayésienne naïve Modèle de représentation Utilisation de filtre bayésien naïf pour améliorer la classication Sparse Binary Polynomial Hashing (SBPH) et CRM Filtre utilisant les Machines à Vecteurs de Support ou Séparateur à Vaste Marge (SVM) 46 3 La classification de données catégorielles pour détecter les polluriels Données catégorielles et mesure de similarité Outils utilisés V-grams Analyse Sémantique Latente (LSA) Motifs significatifs Choix des motifs significatifs Longueur des motifs significatifs La matrice motif-séquence CLASS Idée principale La décomposition spectrale 63 vi

10 TABLE DES MATIÈRES L'algorithme SNN Expérimentation et Comparaison Ensembles de test Expérimentation 71 Conclusion 76 A Le modèle OSI (Open Systems Interconnection) 78 B CRM vii

11 Liste des figures 1.1 Exemple de chiffrement/déchiffrement avec clé publique Fonctionnement de DKIM Fonctionnement d'une vérification par RBL Un modèle d'apprentissage à partir d'exemples Erreur d'apprentissage en fonction du temps Modèle de filtre bayésien naïf Illustration de la méthode "filters" Illustration de la méthode "wrappers" Exemples de fonctions de densité de probabilités conditionnelles Le vecteur x dans un modèle de Bernoulli multivarié Le vecteur x dans un modèle multinomial Hyperplan et vecteurs de support L'hyperplan qui donne une plus grande marge La combinaison d'un classificateur bayésien naïf et d'un SVM Exemple de calcul de distance de Levenshtein Exemple de LSA Exemple de différence entre SNN et KNN Distribution des messages par utilisateur Classification avec CLASS en fonction de l'apprentissage 74 A.l Les 7 couches du modèle OSI 80 viii

12 Liste des tableaux 1.1 Exemple de SPF Tableau récapitulatif des avantages et inconvénients des techniques de lutte contre le spam Illustration de la relation de non-transitivité entre délimiteurs CLASS sur les données "Enron" Pourcentage du rappel des spams sur le corpus "Enron" Pourcentage du rappel des courriels légitimes sur le corpus "Enron" Classification avec CLASS en fonction de l'apprentissage 75 A.l Description des couches du modèle OSI 79 ix

13 Introduction Depuis la démocratisation de l'internet, le nombre de boîtes de courriers électroniques ne cesse d'augmenter. En effet, on peut faire le simple constat qu'aujourd'hui pratiquement tous les usagers d'internet ont plus d'une boîte courriel. Ainsi, une communication de masse à travers ce média peut toucher un grand nombre de personnes d'autant plus que le coût d'envoi d'un courriel est dérisoire en comparaison avec le coût de l'envoi d'un courrier postal classique. Nous recevons dans nos diverses boîtes de courriels des centaines de courriers indésirables appelés polluriels, pourriels ou encore spams. Mais qu'est-ce que réellement un spam? Il existe en effet plusieurs définitions du spam mais toutes s'accordent sur le fait qu'il s'agisse d'une communication électronique non sollicitée et indésirable. Ce courrier peut être un simple message publicitaire ou une tentative d'hameçonnage qui est transmis à grande échelle. La plupart du temps, ces communications proviennent d'un destinataire inconnu, mais elles peuvent également être issues d'un correspondant connu dont l'identité a été usurpée. Cet envoi à grande échelle a des conséquences pour le fournisseur d'accès internet (FAI) puisque le coût du transfert et du stockage n'est pas négligeable pour lui puisqu'il va y avoir des milliers de messages qui vont transiter. Mais aussi pour l'utilisateur puisqu'il peut être noyé par ces courriers indésirables et perdre ainsi des messages importants, il peut être victime d'une usurpation d'identité ou même être lui-même victime d'une fraude. Ce phénomène est d'autant plus alarmant que selon les études de Zdziarski [48] l'envoi de spam représente entre 35% et 65% du trafic de courriels sur Internet. Il estime également la croissance de ce type de communication d'un taux annuel de 15% à 20%. 1

14 INTRODUCTION Aujourd'hui, il existe diverses approches pour détecter ces communications dites indésirables. Elles peuvent être aussi bien basées sur des techniques exploitant la particularité des protocoles de communication et d'authentification des clients que sur le filtrage du contenu. Ces deux approches sont combinées pour réduire au maximum la quantité de spams reçus. Effectivement, les logiciels anti-spam couplent plusieurs techniques et filtres pour lutter contre les spams. Les techniques se basant sur les particularités des protocoles de communication ne peuvent englober tous les aspects du problème et font souvent face aux manquements du système. Les techniques se basant sur le filtrage du contenu quant à elles, relèvent d'un problème de classification classique en deux classes distinctes d'une part les courriers indésirables et d'autre part les courriers légitimes. Les méthodes de classification pour le filtrage sont souvent une opération statistique qui consiste à regrouper des objets (ici, les courriels) en un nombre limité de groupes (ici, deux groupes). Il s'agit d'identifier l'appartenance de nouveaux objets à un des sous-ensembles dont les caractéristiques distinctives sont connues grâce aux données d'entraînement du modèle. Ainsi, ces approches se construisent en deux phases : une première phase d'apprentissage dont la justesse va influer sur la seconde phase de classification à proprement dit. Cette approche tire ses sources des anciens filtres basés sur une liste noire de mots. Un courriel qui va contenir les mots présents sur la liste sera susceptible d'être du spam. Cette dernière montre très vite ses limites. Le défi est de détecter le spam rapidement (avec un apprentissage court ou quand les spammeurs changent certains caractères de mots clés) et d'éviter de classer des courriers légitimes en tant que spam. Dans ce mémoire, nous allons tout d'abord explorer les principales techniques basées sur les particularités des protocoles qui sont aujourd'hui utilisées pour lutter contre le spam. Nous allons ainsi étudier le principe de leur fonctionnement pour connaître leurs avantages et désavantages. La deuxième partie de notre étude va porter sur le filtrage du contenu à l'aide d'un algorithme bayésien. Nous allons dans cette partie définir les concepts d'apprentissage et de statistique bayésienne pour comprendre le fonctionnement de tels algorithmes. Enfin, dans la troisième partie de notre étude, nous expliquerons une nouvelle approche, 2

15 INTRODUCTION CLASS [16], pour réaliser l'analyse de contenu. Nous présenterons les résultats de cette approche pour illustrer son efficacité et voir comment elle réagit par rapport à l'apprentissage. Ce dernier va nous permettre d'évaluer l'effet des changements de mots que les spammeurs utilisent, sur notre classificateur. 3

16 Chapitre 1 La lutte contre le spam Il existe deux manières de détecter et bloquer les pourriels ; une par détection basée sur des techniques de blocage d'adresses IP et vérification d'identité ainsi qu'une autre basée sur l'analyse du contenu du courriel que nous traiterons plus tard. Ce chapitre présente une revue des outils et techniques utilisés pour bloquer les courriers indésirables. 1.1 Le tout premier spam Peu importe la manière dont on définit le spam (courrier indésirable, polluriel ou pourriel) aujourd'hui, on s'accorde que le tout premier spam distribué sur un large réseau date de C'était une publicité d'une entreprise d'équipement numérique. Cette publicité fut diffusée sur le réseau Arpanet 1. Les clients de messagerie n'étaient pas aussi évolués que ceux d'aujourd'hui. De ce fait, les polluposteurs (spammeurs) devaient entrer toutes les adresses des destinataires individuellement. De plus, faute d'espace tampon du programme SNDMSG qu'ils utilisaient, seulement 320 destinataires l'avaient reçu lors de la première diffusion. Voici ce fameux spam dont on a 1. ARPANET ou Arpanet (acronyme anglais de "Advanced Research Projects Agency Network", souvent typographié "ARPAnet") est le premier réseau à transfert de paquets développé aux états- Unis par la DARPA. Le projet fut lancé en 1969 et la première démonstration officielle date d'octobre

17 1.1. LE TOUT PREMIER SPAM retiré les 9 pages d'adresses de destinataire [48]. Mail-from : DEC-MARLBORO rcvd at 3-May PDT Date : 1 May EDT Frora : THUERK at DEC-MARLBORO Subject : ADRIAN@SRI-KL DIGITAL WILL BE GIVING A PRODUCT PRESENTATION OF THE NEWEST MEMBERS OF THE DECSYSTEM-20 FAMILY; THE DECSYSTEM-2020, 2020T, 2060, AND 2060T. THE DECSYSTEM-20 FAMILY OF COMPUTERS HAS EVOLVED FROM THE TENEX OPERATING SYSTEM AND THE DECSYSTEM-10 <PDP-10> COMPUTER ARCHITECTURE. BOTH THE DECSYSTEM-2060T AND 2020T OFFER FULL ARPANET SUPPORT UNDER THE TOPS-20 OPERATING SYSTEM. THE DECSYSTEM-2060 IS AN UPWARD EXTENSION OF THE CUR- RENT DECSYSTEM 2040 AND 2050 FAMILY. THE DECSYSTEM-2020 IS A NEW LOW END MEMBER OF THE DECSYSTEM- 20 FAMILY AND FULLY SOFTWARE COMPATIBLE WITH ALL OF THE OTHER DECSYSTEM-20 MODELS. WE INVITE YOU TO COME SEE THE 2020 AND HEAR ABOUT THE DECSYSTEM-20 FA- MILY AT THE TWO PRODUCT PRESENTATIONS WE WILL BE GIVING IN CALIFORNIA THIS MONTH. THE LOCATIONS WILL BE : TUESDAY, MAY 9, PM HYATT HOUSE (NEAR THE L.A. AIRPORT) LOS ANGELES, CA THURSDAY, MAY 11, PM DUNFEY'S ROYAL COACH SAN MATEO, CA (4 MILES SOUTH OF S.F. AIRPORT AT BAYSHORE, RT 101 AND RT 92) A 2020 WILL BE THERE FOR YOU TO VIEW. ALSO TERMINALS ON-LINE TO OTHER DECSYSTEM-20 SYSTEMS THROUGH THE ARPANET. IF YOU ARE UNABLE TO ATTEND, PLEASE FEEL FREE TO CONTACT THE NEAREST DEC OFFICE FOR MORE INFORMA- TION ABOUT THE EXCITING DECSYSTEM-20 FAMILY L'émetteur de ce message se nommait Gary Thuerk. Il espérait que les destinataires allaient répondre à l'invitation pour apprendre sur le service de soutien AR- PANET de l'entreprise. Et il a obtenu des réponses puisqu'une série de discussions controversées commença à propos de ce message et le résultat fut tel que le message avait été diffusé d'autant plus pour que tout le monde puisse réagir à ce sujet. Le fait que tout le monde ait contribué à cette controverse sur le premier spam l'a rendu d'autant plus populaire. Le spam a créé une quantité considérable de chargements sur ce que l'on considère aujourd'hui comme connexion à faible bande passante. Avec des ressources en mémoire et bande passante réduites, cette distribution peut être 5

18 1.2. LES DIFFÉRENTES TECHNIQUES BASÉES SUR LE BLOQUAGE D'ADRESSE IP UTILISÉES DANS LA LUTTE CONTRE LE SPAM considérée à la limite comme une attaque par déni de service (DoS). À la suite de cette controverse, l'entreprise a décidé de retirer la campagne et de ne plus envoyer de tel message. 1.2 Les différentes techniques basées sur le bloquage d'adresse IP utilisées dans la lutte contre le spam Les techniques utilisées pour lutter contre le spam sont de nature variées, nous les classons de la manière suivante : - L'identification de l'émetteur du message grâce à sa signature numérique (S/- MIME) soit par son authentification au serveur SMTP 2 (SMTP\AUTH). - Les protocoles visant à vérifier la provenance du courriel (SPF) ou leur authenticité (DKIM, Domain Keys, IIM, etc.). - L'analyse comportementale qui permet d'identifier le spam en exploitant leurs comportements caractéristiques : non-respect des RFCs 3, cadence des messages reçus, etc. - Le filtrage par signature en utilisant les bases de données connues des terminaux qui transmettent des courriers indésirables (RBL) Cacher son adresse courriel Avant tout, la technique la plus simple pour éviter le spam consiste à protéger son adresse courriel des spammeurs. Ainsi, il ne faudra transmettre son adresse courriel qu'à des contacts de confiance. Pour ce qui est des contacts dont la confiance est moindre, il faudrait utiliser des adresses de courriel temporaire. Quand on inscrit son adresse sur un site web par exemple, il est préférable de rajouter un caractère ou 2. Simple Mail Transfer Protocol, abrégé SMTP, est le protocole généralement utilisé pour transmettre les courriels de l'émetteur vers les serveurs de messagerie. Les ports utilisés par ce protocole sont le 25 (sans authentification), 587 (avec authentification) et 465 (pour une connexion sécurisée SSL). 3. RFC ou Requests For Comments sont une série de documents officiels décrivant les aspects techniques d'internet. 6

19 1.2. LES DIFFÉRENTES TECHNIQUES BASÉES SUR LE BLOQUAGE D'ADRESSE IP UTILISÉES DANS LA LUTTE CONTRE LE SPAM une balise à supprimer avant de vous écrire sur votre adresse courriel. Cette précaution empêche votre adresse courriel d'être récupérée par des robots qui collectent les adresses courriel sur le web. Ces précautions sont souvent insuffisantes puisque l'adresse courriel peut être protégée par l'utilisateur mais ses contacts peuvent par inadvertance divulguer votre courriel à travers des fils de conversations par exemple. De plus, les robots qui récupèrent les adresses courriel sur le web sont de plus en plus performants et détectent souvent les balises que les utilisateurs rajoutent afin de protéger leur courriel Identification de l'émetteur par sa signature S/MIME S/MIME (Secure / Multipurpose Internet Mail Extensions) [36] est une norme de cryptographie et de signature numérique de courriel encapsulée au format MIME. Elle permet d'assurer l'intégrité, l'authentification, la non-répudiation et la confidentialité des données. Le standard MIME permet d'inclure dans les messages électroniques des fichiers attachés autres que des fichiers textes (ASCII). C'est donc grâce à ce standard que l'on peut transmettre des pièces jointes de différents types. S/MIME repose sur le principe de chiffrement à clé publique, il permet de chiffrer le contenu du message mais ne chiffrera pas la communication. La figure 1.1 illustre le processus de chiffrement et déchiffrement du message. Le message est tout d'abord crypté à l'aide de la clé publique du récepteur que l'émetteur possède déjà. Ensuite, il est transmis sous sa forme cryptée. Enfin à la réception du message, le récepteur utilise sa clé privée correspondante pour décrypter le message et pouvoir le lire. S/MIME est difficile à mettre en œuvre puisque tous les clients de messagerie n'intègrent pas les signatures S/MIME. De même, son intégration aux webmails (solutions très utilisées par les utilisateurs) n'est pas réalisée dans la grande majorité des cas. De plus, la fonctionnalité va dépendre du navigateur utilisé. D'autre part, comme le message est crypté, s'il contient un programme malveillant celui-ci ne sera pas analysé par les serveurs puisque le message ne pourra être décrypté. Enfin, un 7

20 1.2. LES DIFFÉRENTES TECHNIQUES BASÉES SUR LE BLOQUAGE D'ADRESSE IP UTILISÉES DANS LA LUTTE CONTRE LE SPAM DOCUMENT ENOmrrf AVEC LA al PUBLIQUE DU Rtermut CLES CORRESPONDANTES figure Exemple de chiffrement/déchiffrement avec clé publique message encrypté par S/MIME ne pourra être décrypté si le récepteur a supprimé la clé de décryptage ou s'il possède une clé erronée L'authentification sur SMTP (SMTP\AUTH) La version originale de SMTP (Simple Mail Transfer Protocol) spécifiée par Jon Postel dans les années 70 ne permettait pas d'utiliser un mot de passe pour transmettre un courriel. Depuis la fin des années 90, il est commun d'avoir des relais de courriels ouverts, ils sont considérés comme étant une faille. L'authentification SMTP [41], souvent appelée SMTP AUTH, est une extension du SMTP au moyen duquel le client SMTP peut s'identifier. L'authentification SMTP est possible grâce aux serveurs le permettant, ils nécessitent que le client s'authentifie. Il faut en effet que le client et le serveur s'acceptent mutuellement en utilisant une méthode commune d'authentification. Au départ, ce protocole a été inventé comme un protocole serveur à serveur, avec l'authentification SMTP, un client doit s'identifier et seulement après la réussite de cette étape, la réception et la transmission de ses courriels sont effectuées. 8

21 1.2. LES DIFFÉRENTES TECHNIQUES BASÉES SUE LE BLOQUAGE D'ADRESSE IP UTILISÉES DANS LA LUTTE CONTRE LE SPAM L'authentifïcation SMTP a été rajoutée aujourd'hui à la grande partie des serveurs SMTP, ce processus est défini dans une suite de RFC. La séquence suivante présente un échange type entre le serveur SMTP "S" et le client SMTP "C" : S: 220 esmtp.example.com ESMTP C: ehlo client.example.com S: 250-esmtp.example.com S: 250-PIPELINING S: 250-8BITMIME S: 250-SIZE S: 250 AUTH LOGIN PLAIN CRAM-MD5 C: auth login S: 334 VXNlcm5hbWU6 C: avlsdkfj S: 334 UGFzc3dvcmQ6 C: lkajsdfvlj S: 235 Authentication successful. Nous pouvons voir dans l'échange ci-dessus les différentes étapes d'une authentification SMTP classique. Le client C lance une requête EHLO 4 au serveur. Le serveur va accepter la demande et attendre l'authentifïcation du client 250 AUTH LO- GIN PLAIN CRAM-MD5. Le client tente une connexion de type LOGIN. Le serveur attend un nom d'utilisateur encodé en BASE64 5, le client va donner son nom d'utilisateur encodé avlsdkfj. Ensuite, il s'agit de demander et transmettre le mot de passe dans le même encodage. Enfin, si les informations transmises par le client sont bonnes, alors la connexion se réalise 235 Authentication successful et le message pourra ensuite être transmis au serveur SMTP. Il existe trois mécanismes principaux d'authentification pour le SMTP\AUTH : - AUTH LOGIN : les échanges d'informations sont encodés en BASE La clause SMTP HELO est l'étape du protocole SMTP où les serveurs SMTP se présentent les uns aux autres. Le serveur d'envoi va s'identifier et le serveur de réception va accepter n'importe quel nom. EHLO est une version améliorée de HELO. 5. BASE64 est un codage d'information utilisant 64 caractères. 9

22 1.2. LES DIFFÉRENTES TECHNIQUES BASÉES SUR LE BLOQUAGE D'ADRESSE IP UTILISÉES DANS LA LUTTE CONTRE LE SPAM - AUTH PLAIN : le client transmet un message unique au serveur. Ce message n'est pas encodé et contient le nom d'utilisateur et le mot de passe d'authentification, - AUTH CRAM MD5 : cette fois, l'échange des informations d'authentification sera encodé en CRAM-MD5, c'est-à-dire une combinaison d'un mécanisme de question/réponse et d'algorithme de hachage MD5 6. Cependant SMTP/AUTH est une extension qui n'est pas présente sur tous les webmails et elle n'est pas non plus obligatoire, ce qui réduit son utilisation. De plus, SMTP/AUTH ne protège pas contre l'usurpation d'identité qui est une technique très utilisée par les spammeurs et qui consiste à utiliser une autre adresse IP que celle attribuée par défaut par les serveurs au terminal client. Cette technique permet au spammeurs d'éviter de se faire retracer par leur adresse IP et aussi d'utiliser cette adresse IP qui peut être une adresse IP dont les courriers vont être automatiquement acepter par les serveurs de transfert de courrier Authentification SMTPS SMTPS [13] est une méthode qui sert à sécuriser une connexion SMTP de manière à offrir une authentification de l'émetteur, une intégrité et une confidentialité des données. SMTPS n'est pas un protocole propriétaire, ni une extension de SMTP, c'est juste une manière de sécuriser SMTP sur la couche transport du modèle OSI (voir annexe A). Ce qui signifie que le client et le serveur communiquent avec un SMTP standard sur la couche application, mais la connexion va être sécurisée par SSL ou TLS 8. Cette authentification se fait avant l'envoi de toute donnée. Pour pouvoir bénéficier du protocole SMTPS, il faudra des serveurs qui acceptent des connexions SMTPS. 6. MD5 ou Message Digest 5 est une fonction de hachage cryptographique. 7. Les serveurs de transfert de courriel n'ont pas de boite réception, ils vont seulement transférer le courriel vers un autre serveur ou vers le récepteur. 8. SSL ou "Secure Sockets Layer" et TLS ou "Transoprt Layer Security" sont des protocoles cryptographiques qui permettent de sécuriser une communication sur Internet. Ils encryptent le segment de connexion sur la couche transport en utilisant une cryptographie asymétrique pour l'échange des clés, une encryption symétrique pour la confidentialité et les "messages authentification codes" (MAC) pour assurer l'intégrité du message 10

23 1.2. LES DIFFÉRENTES TECHNIQUES BASÉES SUR LE BLOQUAGE D'ADRESSE IP UTILISÉES DANS LA LUTTE CONTRE LE SPAM SMTPS ne protégera pas du usurpation du champ "De Effectivement, l'authentification au serveur SMTP à l'aide du protocole SMTPS et des identifiants n'empêchera pas l'émetteur de transmettre un courriel ayant un champ "De avec une fausse adresse courriel. De plus, les connexions SMTPS ne permettent pas l'utilisation des serveurs de transfert de courriel donc il y a aura des possibilités de retour de courriel ou des messages d'avertissement de non livraison du message. Enfin, les serveurs et webmails acceptant une connexion SMTPS sont peu nombreux Sender Policy Framework Aujourd'hui, tous les courriers indésirables sont issus d'une fausse adresse. Les victimes dont les adresses ont été usurpées sont souvent placées par les destinataires sur liste noire. En effet, les protocoles Simple Mail Transfer Protocol (SMTP) utilisés pour transmettre les courriels ne prévoient pas de mécanisme de vérification de l'expéditeur, c'est-à-dire qu'il est facile de transmettre un courriel avec une adresse fausse ou usurpée. L'usurpation d'adresse est une menace pour les individus comme pour les entreprises; elle altère également la confiance des utilisateurs pour l'utilisation de la communication par courriel. C'est pour cela, par exemple, que votre banque ne vous transmettra jamais de l'information concernant votre compte par courriel. D'où la mise en place du SPF (Sender Policy Framework) [21] qui est un système de validation du courriel créé pour prévenir le clonage d'adresse. La vérification de la conformité avec SPF se réalise en trois étapes : - Publier une politique : Les domaines et les hôtes doivent identifier les machines qui sont autorisées à transmettre des courriels en leur nom. Cela se fait en rajoutant des enregistrements aux informations DNS existantes. Par exemple, chaque domaine ou hôte qui a un "A record" ou "MX record" devrait avoir un SPF qui définit une politique si il est utilisé dans une adresse courriel ou un argument HELO/EHLO. Les hôtes qui ne transmettent pas de messages devraient publier un SPF qui indique "v=spfl -ail". - Vérifier et utiliser les informations SPF : Les récepteurs utilisent des requêtes DNS classiques qui sont généralement mises en cache pour améliorer la perfor- 11

24 1.2. LES DIFFÉRENTES TECHNIQUES BASÉES SUR LE BLOQUAGE D'ADRESSE IP UTILISÉES DANS LA LUTTE CONTRE LE SPAM mance. Cette étape est cruciale puisqu'elle va permettre aux récepteurs d'interpréter l'information du SPF et d'agir en fonction du résultat. - Réviser le transfert du courriel : Le transfert des courriels ordinaires n'est pas autorisé par SPF. Les alternatives sont : le "r ling" qui consiste à remplacer l'émetteur original par un autre qui appartient au domaine local, le "refusing" c'est-à-dire en répondant 551 Utilisateur non local; essayer avec <utilisateur@example.com>, le "whitelisting" c'est-à-dire une liste blanche comme cela le serveur récepteur ne refusera pas un message transféré et le "Sender Rewriting Scheme" qui est un mécanisme plus compliqué qui s'occupe de faire parvenir les notifications de non-acheminement à l'émetteur original. Ainsi, le principal inconvénient de SPF réside dans la spécification des informations de DNS que le domaine définit et que les récepteurs utilisent. Plus précisément, la version actuelle de SPF protège l'adresse enveloppe de l'expéditeur qui est utilisée lors de la transmission. L'adresse enveloppe est une adresse utilisée pour la communication entre deux serveurs de courriels. Elle est utilisée entre autres pour prévenir l'émetteur de l'échec d'un envoi et n'est pas visible par l'utilisateur. Elle est donc différente de l'adresse qui se trouve dans le champ destinateur qui est une adresse en-tête. SPF permet au propriétaire de l'adresse de spécifier une politique d'envoi du courriel, c'est-à-dire quel serveur d'envoi sera utilisé pour transmettre leur communication. Cette technologie nécessite deux volets qui travaillent en même temps : d'une part, le propriétaire du domaine publie cette information dans un enregistrement SPF dans le domaine DNS ; d'autre part, quand le serveur d'un autre utilisateur reçoit un mail provenant possiblement du premier domaine alors il vérifie son authenticité en vérifiant si le courriel respecte la politique d'envoi du dit domaine. Une fois l'authenticité du destinateur confirmée, le courriel pourra être considéré comme légitime. Cependant, les utilisateurs n'adoptent pas encore cette habitude. Bien au contraire, les spammeurs se crée des SPF plus rapidement. De plus, cette technique empêche l'utilisation des serveurs de transfert de courriel, ce qui a pour conséquence la non 12

25 1.2. LES DIFFÉRENTES TECHNIQUES BASÉES SUR LE BLOQUAGE D'ADRESSE IP UTILISÉES DANS LA LUTTE CONTRE LE SPAM délivrance de certain courriel. Exemple : Voici un exemple simple pour illustrer rapidement le fonctionnement des SPF. Bob est propriétaire du domaine example.net. Il utilise parfois son compte Gmail pour envoyer ses courriels et il a contacté le support technique de Gmail pour identifier l'enregistrement SPF que Gmail utilise. Puisqu'il reçoit souvent des retours de message qu'il n'a pas transmis, il décide de se créer un enregistrement SPF dans le but de réduire l'utilisation falsifiée de son domaine. Le tableau 1.1 présente le SPF qu'il va créer. example.net. TXT "v=spfl mx a rpluto.example.net include :aspmx.googl .com -ail" v=spfl SPF version 1 mx les serveurs de réception (MXes) du domaine sont autorisés à transmettre un courriel pour example.net a : pluto.example.net la machine pluto.example.net est également autorisée include :aspmx.googl .com tout ce qui sera considéré légitime par gmail.com sera légitime pour example.net aussi -ail toutes les autres machines ne sont pas autorisées à utiliser le domaine tableau Exemple de SPF DomainKeys Identified Mail (DKIM) DomainKeys Identified Mail (DKIM) [1] qui est une fusion de "DomainKeys Authentification by Yahoo" et "Internet Identified Mail by Cisco" est une méthode d'authentification qui utilise le système de clé publique. DKIM est une authentification au niveau du domaine. Il permet donc d'associer un nom de domaine à un courriel 13

26 1.2. LES DIFFÉRENTES TECHNIQUES BASÉES SUR LE BLOQUAGE D'ADRESSE IP UTILISÉES DANS LA LUTTE CONTRE LE SPAM et donc de permettre à un domaine ou une organisation de revendiquer la responsabilité d'émission du message. L'association est mise en place grâce à une signature numérique qui peut être validée par le récepteur. La responsabilité de l'émission du message est revendiquée par le signataire en ajoutant une signature DKIM à l'en-tête du message. Le vérificateur va récupérer la clé publique du signataire en utilisant un DNS, et ensuite il va vérifier si la signature correspond avec le contenu du message comme présenté dans la figure 1.2. Une signature DKIM peut aussi contenir d'autres champs de l'en-tête du message comme les champs "De "Sujet et une partie du message lui-même. DKIM ne garantit pas l'intégrité du message. Les avantages offerts par DKIM sont nombreux, il permet avant tout d'obtenir des "blacklists" ou "whitelists" de domaine plus efficaces puisqu'il permet au récepteur d'identifier de manière fiable un flux de courrier légitime. DKIM est une méthode qui permet donc d'attribuer un label à un message. Il ne permet pas directement de filtrer ou d'identifier un spam. Cependant, son utilisation généralisée peut empêcher les spammeurs d'usurper l'adresse source du message, une technique fréquemment utilisée par les spammeurs. Si les spammeurs sont obligés d'indiquer un domaine source correcte, d'autres techniques de filtrage vont alors être plus efficaces. Aussi, DKIM aide à identifier le courrier légitime qui ne devra pas être filtré, ainsi si un système de réception possède une liste blanche des domaines. Il pourra, par exemple, ainsi laisser passer le courrier signé par ce domaine et filtrer le reste de manière plus ou moins agressive. Cependant, DKIM possède des faiblesses comme le fait que sa mise en place n'empêche pas un spammeur de composer un message à travers un domaine qui est autorisé pour obtenir une signature valide. Ainsi ce message pourra être transmis à plusieurs adresses sans réel contrôle. Le fournisseur de messagerie pourra bloquer le compte qui a transmis le courrier initial mais ne pourra pas stopper la diffusion des messages déjà signés. On peut limiter la diffusion de tel message en rajoutant un champ correspondant à un temps d'expiration. 14

27 1.2. LES DIFFÉRENTES TECHNIQUES BASÉES SUR LE BLOQUAGE D'ADRESSE IP UTILISÉES DANS LA LUTTE CONTRE LE SPAM Signe par clé privée Correspondance clé privée/publique PubHer la clé publfqu <3EZ) Récupérer la clé publique figure Fonctionnement de DKIM Realtime Blackhole List (RBL) Les RBL (Realtime Blackhole List) [26] sont une amélioration du système de liste noire classique d'adresses. Les listes noires classiques dépendent des administrateurs qui collectent et assemblent les adresses d'émetteurs de spams pour créer une "liste noire". Si l'émetteur du courriel est sur cette liste noire alors le message sera considéré comme du SPAM. Cependant, avec le développement de l'internet, il est devenu impossible pour les administrateurs de créer une liste noire efficiente "manuellement". De ce fait, des listes noires en temps réel ont été créées et sont maintenues à jour grâce à un travail collaboratif à travers le réseau Internet. Les RBL (Realtime Blackhole List, listes noires en temps réel) ont été créées par *Mail Abuse Prévention System (MAPS) LLC. " mais il existe aujourd'hui d'autres fournisseurs de RBL. Ce processus consiste à lister les adresses IP des émetteurs de spams ou qui sont compromises en étant des relais de spam. Les FAI et les compagnies abonnées aux RBL vont pouvoir bloquer l'émission de courriels à partir de certaines adresses IP. Les RBL ou DNSBL (DNS-based Blackhole List) sont des listes d'adresses IP publiées via le Service de Nom de Domaine (DNS), les serveurs de courriel peuvent être configurés pour rejeter ou marquer les messages provenant d'une adresse présente dans une ou plusieurs de ces listes. La figure 1.3 présente le fonctionnement d'une RBL. On constate sur cette figure que le blocage se fait pendant la connexion SMTP ; l'instance d'authentification (le FAI) vérifie auprès des RBL la présence de l'adresse IP de l'émetteur, si une correspondance est trouvée alors la connexion sera refusée. Les 6 étapes principales présentées dans la figure sont les suivantes : 15

28 1.2. LES DIFFÉRENTES TECHNIQUES BASÉES SUR LE BLOQUAGE D'ADRESSE IP UTILISÉES DANS LA LUTTE CONTRE LE SPAM 1. L'émetteur fait une requête d'authentification auprès du Fournisseur d'accès Internet (FAI). 2. Le FAI vérifie auprès des RBL la présence de l'adresse IP de l'émetteur. 3. Si l'adresse n'est pas répertoriée dans les RBL, 4. l'émetteur du courriel est authentifié. 5. L'émetteur transmet son courriel au FAI. 6. Le FAI délivre le courriel au récepteur. Les listes sont constituées effectivement des adresses IP à partir desquelles proviennent les spams. Dans la plupart de ces cas, cela n'affecte pas seulement le spammeur mais aussi tous les clients du FAI puisqu'ils ont le même fournisseur d'accès internet. Il est alors demandé au FAI de débrancher le spammeur pour ne plus apparaître sur la RBL. Mais la raison la plus fréquente de l'apparition d'une adresse IP sur la RBL est due au fait que l'adresse IP soit utilisée comme un relais d'envoi de spam. Les spammeurs utilisent les serveurs de courriels qui sont configurés pour transférer tous les courriels qu'ils reçoivent même ceux qui ne leur sont pas destinés. De ce fait, bloquer les courriels pour ce type de serveurs peut être une mesure très complexe à mettre en place. En effet, si le relais lui-même est corrompu, il va se bloquer lui-même et plusieurs courriels légitimes ne seront pas transmis. Nous pouvons constater que la probabilité d'être injustement mis sur liste noire et de voir donc ses correspondances interrompues pour aucune raison précise est trop importante. De ce fait, cette technique basée sur les listes noires d'adresses IP donne de très mauvais résultats au niveau des faux positifs. De plus, vu que la plupart des spams sont aujourd'hui transmis à travers de fausses adresses IP d'émetteur, les chances que la RBL ne détecte pas le spam sont considérables. De ce fait, cette technique est souvent jumelée à d'autres Le greylisting Le greylisting [27] est une technique antipourriel (antispam) particulièrement efficace, qui fonctionne selon le principe que lorsqu'un serveur de réception de courriel 16

29 CHAPITRE 1. LA LUTTE CONTRE LE SPAM % i * _.. :jg>. 2. Vérification présence IP 3. Absence IP Mail Abuse Prévention System RBL figure Fonctionnement d'une vérification par RBL (dans ce cas-ci, le serveur qui reçoit le courriel, sur lequel le filtre de courriel est activé) reçoit un courriel et qu'il ne peut traiter la réception d'un message (par exemple, s'il est indisponible), il doit retourner un code d'erreur 421. Ce code d'erreur indique au serveur qui envoie le message d'attendre et de réessayer l'envoi un peu plus tard. Ce délai est défini dans la configuration du serveur expéditeur du message (ou Mail 17

30 1.2. LES DIFFÉRENTES TECHNIQUES BASÉES SUR LE BLOQUAGE D'ADRESSE IP UTILISÉES DANS LA LUTTE CONTRE LE SPAM Transfert Agent : Mail Transfert Agent). Les MTA légitimes respectent cette règle. Les MTA non légitimes (utilisés par les polluposteurs) ne le font pas, car cela leur fait perdre de l'efficacité : le MTA continue donc son envoi de courriels (il passe au prochain destinataire) sans attendre pour réenvoyer le courriel actuel. On utilise donc cette particularité pour créer une "liste grise". Celle-ci fonctionne avec une base de données. Chaque enregistrement de la base de données constitue un triplet composé de l'adresse IP du serveur qui envoie le courriel, de l'adresse courriel de l'expéditeur, et de l'adresse courriel du destinataire, formant ainsi une clé unique. Lorsqu'un message est reçu par le serveur de courriel du destinataire, ce dernier vérifie dans sa base l'existence du triplet. À partir de là : - Si le triplet n'est pas dans sa base de données, il l'ajoute avec la date actuelle. Il renvoie ensuite le code d'erreur 421, indiquant au serveur qu'il devra réenvoyer le message. - Si le triplet est déjà dans la base de données, le serveur vérifie le délai entre la date courante et celle stockée dans la base (la date de la première connexion). Si le délai est supérieur ou égal au délai prédéfini, le message est accepté. Sinon, le serveur retourne un numéro d'erreur 421. Après un certain temps (défini également dans l'enregistrement), l'enregistrement devient inactif et le serveur doit réenvoyer un 421. Ainsi, lorsque le MTA envoyeur reçoit le 421, s'il est légitime, il attendra avant de ré-envoyer le message. Sinon, il n'attendra pas et ne le réenverra pas. Cette technique permettait d'atteindre des taux d'efficacité très élevés, de l'ordre de 99 % quand elle a été proposée en 2003, puisque la très grande majorité des polluposteurs préfère sacrifier un courriel plutôt que d'attendre et ainsi, diminuer leur performance. Actuellement, l'efficacité est moins importante ( %) à cause de l'augmentation de l'utilisation des webmails (de vrais serveurs de messagerie), par les polluposteurs, pour distribuer les pourriels. Cette technique crée également des retards dans la communication et augmente le nombre d'échanges sur le réseau puisque pour l'envoi d'un courriel par une IP qui n'est pas encore enregistré auprès du destinataire il y aura dans le meilleur des cas 3 communications plutôt qu'une; l'envoi initial, la réponse 421 et enfin le renvoi dans les délais. 18

31 1.3. TABLEAU RÉCAPITULATIF Filtrage heuristique Le filtrage heuristique [12] fonctionne en soumettant les courriels à plusieurs tests prédéfinis pour vérifier l'enveloppe, l'en-tête et la structure du contenu du message. Chaque règle attribuera un score numérique quand à la probabilité que le message soit un spam. Le résultat de la somme de ces scores est appelé "Spam Score". Le "Spam Score" est alors comparé à la sensibilité configurée par l'utilisateur. Selon cette sensibilité plus ou moins de spams vont être détéctés, mais à contre-mesure, il y aura plus de risque qu'un courrier légitime soit considéré comme du spam. Selon le "Spam Score" et la sensibilité, les messages seront donc classifiés en spam, non-spam, et indécis. Il y a des exceptions à cette règle : - les messages en provenance d'émetteurs sur la liste des contacts approuvés ne seront jamais considérés comme du spam. - à l'inverse, les messages en provenance d'émetteurs non approuvés seront toujours considérés comme du spam. - enfin, les messages respectant des règles prédéfinies et personnalisées par le récepteur ne seront pas traités comme du spam. Le problème majeur de ces machines heuristiques est que les polluposteurs apprennent et s'adaptent à ces règles heuristiques. 1.3 Tableau récapitulatif Techniques Avantages Inconvénients 19

32 1.3. TABLEAU RÉCAPITULATIF Techniques Avantages Inconvénients Cacher son adresse courriel - Réduit la quantité de spams reçus - Les contacts peuvent ne pas contribuer à cette attention en incluant par exemple votre adresse dans une liste de diffusion - Les robots apprennent à détecter et supprimer les tags rajoutés pour protéger l'adresse courriel Signature S/MIME - Permet d'assurer l'inté- - Tous les clients de mes- [361 SMTP/AUTH [41] grité, l'authentification, la non-répudiation et la confidentialitsagerie et tous les webmails n'intègrent pas cette technique - Si le courriel contient un code malveillant, il ne sera pas détecté par les serveurs puisqu'ils ne pourront décrypter le courriel - S'il y a corruption d'une clé le message ne sera pas récupérable - Permet de réaliser une - Extension non obligatoire authentification sécurisée et très peu utilisée par les entre l'émetteur et le webmails serveur d'envoi de courriel - Usurpation d'identité de l'adresse IP et du champ "De possible 20

33 1.3. TABLEAU RÉCAPITULATIF Techniques Avantages Inconvénients STMPS [13] - Permet de réaliser une - Les serveurs proposant authentification sécurisée ce protocole sont peu nombreux entre l'émetteur et le serveur d'envoi de courriel - Permet de garantir l'intégrité et la confidentialité du message - Ne passe pas au travers des serveurs de transfert de courriels - Usurpation d'identité du champ "De :" possible SPF [21] - Permet de vérifier l'authenticité de l'adresse courriel d'envoi - Protège l'adresse de provenance - Les spammeurs adoptent SPF plus rapidement que les courriers légitimes - Ne passe pas au travers des serveurs de transfert de courriels DKIM [1] - Permet indirectement de constituer des "blacklists" et "whitelists" de domaine - Un courriel transmis et dont on réalise la corruption ne pourra être stoppé et sera automatiquement diffusé par les serveurs de transfert de courriel RBL [26] - Permet un blocage ou marquage des courriels provenant des adresses IP de listes noires - Le blocage peut affecter tous les utilisateurs du serveur si le serveur est sur une "blacklist" puisqu'il a transmis du spam 21

34 1.3. TABLEAU RÉCAPITULATIF Techniques Avantages Inconvénients Greylisting [27] - Méthode adaptative - Permet de bloquer selon des caractéristiques bien précises - Les spammeurs s'adaptent aussi et changent les caractéristiques des spams - Il y a un temps d'adaptation et tous les spams ne seront pas bloqués tableau 1.2: Tableau récapitulatif des avantages et inconvénients des techniques de lutte contre le spam Le tableau 1.2 fait un récapitulatif des avantages et inconvénients des techniques et architectures utilisées pour lutter contre le spam. Celles-ci sont souvent combinées entre elles pour palier à leur manque. Malgré cela les spammeurs contournent ces restrictions et transmettent du spam. Ainsi, ces techniques vont être également combinées avec des méthodes qui se basent sur une classification du contenu du message. Nous explorons l'approche basée sur un classificateur bayésien dans le chapitre suivant puisque c'est le classificateur le plus répandu dans le domaine. 22

35 Chapitre 2 La lutte anti-spam basée sur les filtres bayésiens Nous pouvons constater que les techniques basées sur le blocage d'adresse IP et le filtrage en utilisant les particularités des protocoles, tel que SMTP, impliquent un investissement de la part des FAI et peuvent entraîner très rapidement un manque d'efficacité. En effet, ces techniques sont universelles aux clients du FAI et ne sont donc pas personnalisées ni personnalisables. Jusqu'à la fin des années 80, on utilisait des classificateurs 1 basés sur des règles définies par l'utilisateur. Définir des classificateurs performants et précis était difficile et prenait beaucoup de temps puisqu'il fallait définir des classificateurs pour chaque cas particulier. C'est avec les progrès technologiques et l'augmentation des performances des machines qu'on a commencé à utiliser des classificateurs statistiques. Ces derniers utilisent l'apprentissage à travers des données d'entraînement dont on connaît déjà la classification pour construire le classificateur. Nous allons dans ce chapitre présenter des filtres basés sur des données statistiques. Ces filtres sont généralement évolutifs. Ils ont pour but de limiter la réception de spams (c'est-à-dire ne les arrêtent pas complètement) tout en évitant les faux positifs, 1. La tâche d'un classificateur consiste grossièrement à attribuer à un motif donné une classe 23

36 2.1. APPRENTISSAGE STATISTIQUE c'est-à-dire de détecter un courrier légitime comme étant un spam. Dans ce chapitre, nous étudions les techniques utilisées dans ce domaine. La genèse de ces techniques de filtrage a été marquée par un article central "A plan for spam" de Paul Graham en 2002 [11] dans lequel il présente l'utilisation d'un filtre bayésien naïf pour détecter les spams. 2.1 Apprentissage statistique Définition Avant de parler de notions en rapport avec la statistique bayésienne, il faut prendre conscience de la notion d'apprentissage statistique et de son poids dans l'efficacité des algorithmes que nous allons rencontrer durant notre étude. En effet, l'abondance des données rencontrées dans les analyses statistiques couplée à leur complexité rend l'exploitation de ces données par des moyens humains de plus en plus complexe. De ce fait, on met en place des méthodes automatiques d'analyse qui confèrent aux algorithmes des capacités de fonctions de perception, discrimination et reconnaissance basées sur un modèle humain malgré nos connaissances limitées dans le domaine. C'est ce qu'on appelle l'apprentissage et il est basé sur une base de connaissances que l'on continue à enrichir avec de nouvelles données. Il existe deux grandes approches d'apprentissage [3] [44] : l'apprentissage non supervisé où l'algorithme se doit d'être totalement autonome et l'apprentissage supervisé qui va être corrigé et maintenu par un facteur extérieur. C'est ce dernier modèle qui nous intéresse puisqu'on peut corriger les erreurs de classification de nos algorithmes et de ce fait même améliorer sa base de connaissances dans le but d'obtenir de meilleurs résultats et s'adapter au changement. Ainsi, le but principal de la théorie d'apprentissage statistique est de fournir un cadre d'étude du problème d'inférence afin de pouvoir améliorer sa base de connaissances, faire des prédictions, prendre des décisions ou construire un modèle à partir d'un ensemble de données. On décrit le modèle général de l'apprentissage d'un exemple de trois composantes : 24